就在九点零一分!”
“发件人……显示是‘内部系统通知’?主题是‘紧急安全补丁更新’!收件人……是这台测试机的管理员!”
钓鱼邮件!目标根本不是市场部,是我们技术支援中心负责维护测试环境的机器!我们成了跳板!
“小王,立刻记录下这个伪装进程的所有特征码、行为日志!”
“小李,把那封钓鱼邮件的完整信息,发件人伪装、附件信息、链接特征全部提取出来!快!”我一边下令,一边抄起对讲机。
“陈主任!查清了!攻击源是我们一台测试机!被一封伪装成‘内部系统通知’的钓鱼邮件攻破,植入了恶意程序!”
“该程序正试图通过邮件协议外联!特征码和邮件样本已提取!”
对讲机里随即传来陈主任果断的声音:“干得好,孙琳!立刻将样本特征码提交给网络中心,进行全网查杀!”
“邮件样本提交演练指挥部进行深度分析!你们组任务,转入第二阶段:威胁清除和影响评估!”
“评估这台测试机被控期间,还可能访问或泄露了哪些内部资源?十分钟!”
“是!”我应道,心里却一点没松。清除容易,评估潜在影响才要命。”
“这台测试机权限不低,能访问好几个内部测试数据库和开发文档库。
“小王,重点查这台机器在九点零二分到我们断网这三分钟内的所有网络访问记录、文件操作日志!”
“特别是对涉密测试库和文档库的访问!”
我快速分配任务,“小李,配合小王,比对正常基线,找出所有异常访问行为!”
“小张,准备格式化这台机器,重装系统,确保威胁清除干净!”
又是新一轮的争分夺秒。我们组几个人像上了发条,眼睛死死盯着各自的屏幕,时间被切割成碎片,每一秒都如此珍贵。
九分钟过去。小王的声音带着一丝嘶哑:“孙姐,查完了!”
“异常访问主要集中在两个地方:一是‘鹰眼-3B’项目的一个非核心外围设备模拟数据库,读取了部分测试参数记录。”
“二是技术文档库的‘通用设备维护手册V2.1’目录,被下载了最新修订版文件!”
我心算了一下:“‘鹰眼-3B’那个数据库是上周才部署的测试库,里面是模拟数据,非涉密。”
“手册V2.1是公开的维护文档,最新修订只是改了几个错别字和排版格式。”
“核心数据和涉密文档库……没有异常访问记录!”
“影响范围可控!主要是非核心外围设备的模拟数据和一份公开手册的最新版。”
“好!记录完整!”我立刻拿起对讲机,“陈主任!威胁清除完成!”
“影响评估结果:攻击者通过被控测试机,访问了‘鹰眼-3B’项目非核心外围设备模拟数据库,仅含测试用模拟参数。”
“并下载了技术文档库中的‘通用设备维护手册V2.1’,公开文档,最新修订版。”
“未发现对涉密核心数据库及文档的异常访问。评估:此次模拟攻击未造成核心数据泄露风险!”
对讲机里传来陈主任的声音:“收到。评估报告立刻提交指挥部。你们组演练任务结束。原地待命,复盘总结。”
“明白!”我放下对讲机,小王小李互相看了一眼,相互苦笑着。
“我的妈呀,”小王抹了把汗,“真跟打了一仗似的。”
“那钓鱼邮件做得也太像了,发件人、标题,连咱公司logo都有!”
小李心有余悸:“就是啊,谁能想到直接冲着咱们维护的测试机来?还专挑刚上班人没完全清醒的时候。”
我揉着太阳穴:“这就是演练的目的。敌人不会按我们想的剧本走。”
“这次是测试机,下次可能是谁的办公电脑?生产服务器?邮件、U盘、外协单位发来的文件……到处都是口子。”
我看着他们,“都打起精神,待会儿复盘,每个人都要发言,哪一步慢了?哪一步判断可能出岔子?”